Bug Online

Naziv konferencije seže još od western filmova u kojima je obično negativac nosio crni šešir, a pozitivni lik u filmu bijeli. U računalnom svijetu, Black Hat hacker (ili češće cracker) osoba je koja vrši neautorizirane penetracije u sustave. Iako u tom svjetlu Black Hat zvuči kao okupljanje kriminalaca, ipak to nije.
Black Hat je u principu komercijalna inačica hakerskih okupljanja kao što su Chaos Communication Congress (CCC), Defcon ili Hackers on Planet Earth (HOPE). Dakle, komercijalna tehnička konferencija o informacijskoj sigurnosti. Sama cijena kotizacije govori u prilog tome: dok za većinu “originalnih” hakerskih konferencija kotizacija ne prelazi 100 EUR, cijena kotizacije za Black Hat konferencijski dio penje se i do 2000 EUR ako se kasno prijavite.
Tako i cijene treninga (radionica) sežu od 1000 EUR, pa sve do 3000 EUR ako se kasno prijavite za neku od naprednijih radionica. No iako se kotizacije čine skupe, platite li ih i odete na jedan Black Hat, vjerojatno ćete poželjeti otići opet bez obzira na cijenu.
Black Hat konferencija održava se u Americi, Europi i Japanu tijekom godine. Od samog početka održavanja ove konferencije na europskom kontinentu prijestolnica europskog Black Hata je Amsterdam. Točnije, hotel Mövenpick nedaleko od glavne željezničke stanice u Amsterdamu. Tako je bilo i ove godine, s malom razlikom. Naime, ove se godine Black Hat održao u travnju, za razliku od prošlih godina kada je bio održan u ožujku.

Hakerski treningKao i prošlih godina, Black Hat je održan u dva dijela. U sklopu prvog dijela u trajanju od dva dana bili su organizirani intenzivni tečajevi odnosno treninzi (trainings). U drugom su dijelu, također u trajanju od dva dana, bila organizirana kratka predavanja (briefings). Treninzi su obično intenzivniji tečajevi za određenu temu, a treninge vode autori samih alata ili metoda za testiranje. Ove su godine treninzi sadržavali različite teme: od sigurosnog testiranja RFID-a do testiranja SAP infrastrukture.
Jedan od zanimljivih treninga vodili su Zac Franken i Adam Laurie, dvije legende kada se radi o informacijskoj sigurnosti. Oni su u dva dana prikazali sigurnosne probleme vezane uz RFID tehnologiju, kao i mogućnosti man-in-the-middle (MITM) napada, što su i demonstrirali.
Zanimljiv je trening održao i Joe Grand: o hardverskom hakiranju, gdje su polaznici naučili otvarati različite uređaje te izvršiti sigurnosnu analizu nad njima s pomoću različitih elektroničkih naprava, što uključuje osciloskop i lemilice.

Kratka predavanjaNapetosti na kratkim predavanjima ove godine nije nedostajalo; otkrivena su četiri nova propusta tijekom konferencije, te potencijalni peti koji na kraju nije prezentiran jer proizvođač nije na vrijeme izdao zakrpu. Naime, Black Hat konferencija poštuje tzv. odgovorno objavljivanje (responsible disclosure) ranjivosti, gdje se pričeka da proizvođač popravi pronađenu ranjivost, te se nakon toga objavljuju njeni detalji.
Jeff Moss, direktor konferencije, kratko je pozdravio sve sudionike, te je prepustio dalje riječ uvodnim predavačima. Uvodno predavanje ove godine imao je Lord Erroll pod zanimljivim naslovom odnosno pitanjem: “Štite li ljudi privatnost ili privatnost štiti ljude?” Inače, Lord Erroll je član engleskog parlamenta i, kako sam kaže, u vječnoj je borbi protiv glupih prijedloga političara, kojoj god stranci pripadali. Kako je dobro tehnički potkovan, vrlo često i dolazi u takve situacije.
Konferencija je dalje nastavila u revijalnom tonu. Mariano Nunez Di Croce prikazao je sigurnosne probleme u SAP sustavima te alat koji je napravio, a koji pomaže u sigurnosnim testiranjima SAP infrastrukture. Iako se većina predstavljenih problema može otkloniti postavljanjem ispravnih konfiguracijskih parametara ili dogradnjom SAP sustava na posljednju inačicu, u produkcijskoj okolini vrlo je čest slučaj da inačica SAP-a nije najnovija i da nije ispravno sigurnosno podešena.
Moxie Marlinspike prikazao je ono što je objavio nedavno na Black Hat DC konferenciji: sada već poznate napade na vezu između http i https dijela web stranice. No definitivno se isplatilo čuti to iz prve ruke jer je Moxie to začinio s pregršt detalja vezanih uz sâm napad. Izdao je i alat pod nazivom sslstrip koji je moguće skinuti s njegovih stranica.